L’ordonnance oubliée de la Net-citoyenneté

À l’heure où le Cloud infiltre nos vies professionnelles et personnelles, transformant de facto les sociétés en « fournisseurs de services », la méconnaissance de l’ordonnance du 24/08/2011 dénote au mieux une certaine désinvolture, au pire d'un inadmissible manque de respect pour les utilisateurs !

Cela aurait pu, cela aurait même probablement dû, être le thème phare des dernières Assises de la Sécurité, le grand rendez-vous des responsables de la sécurité des entreprises françaises. Trop intéressés par l’intervention du directeur de l’ANSSI, Patrick Pailloux, les RSSI n’ont pas du tout abordé le sujet… 
De quoi s’agit-il ? De l’ordonnance du 24 Août 2011 relative aux communications électroniques. 
Dans l’anonymat de l’été, le Parlement avait pourtant lâché une bombe à retardement qui devait bouleverser la gestion des pertes de données en France mais qui, si l’on n’y prend pas garde, pourrait au final se transformer en vaine tentative. Pourtant, dans un univers où le Cloud devient omniprésent et où les données se multiplient sans fin sur les systèmes de stockage des entreprises, les enjeux de cette ordonnance me paraissent cruciaux et largement sous-évalués.
Il est en effet surprenant de voir à quel point les RSSI français ont jeté un voile pudique sur ce thème pour qu’il ne vienne pas rendre leurs tâches quotidiennes encore plus compliquées. Il faut dire que cette ordonnance est construite sur un malentendu. Elle est la transcription en droit français d’une mesure promulguée en 2009 par le Parlement Européen. Ce dernier demandait alors que l’on impose aux « opérateurs » l’obligation de divulguer toute perte d’informations suite à la compromission de leur service informatique, une pratique entrée dans les mœurs outre-Atlantique.
Or l’ordonnance française ne parle pas d’ « opérateurs ». Elle se montre beaucoup plus vague en évoquant des « fournisseurs de services de communications électroniques ». La définition d’un « fournisseur de services » est bien plus générale que celle d’un opérateur, même en l’affublant de la précision « communications électroniques ». 
Après tout, quelle entreprise n’est pas aujourd’hui un « fournisseur de services de communications électroniques », ne serait-ce qu’auprès de ses propres employés et de ses clients? Toute entreprise héberge en effet (que ce soit dans ses murs ou dans le Cloud) une messagerie email, voire une messagerie unifiée ! Et toute entreprise envoie à ses clients des newsletters, grilles tarifaires, messages Twitters et billets Facebook… Autant d’éléments qualifiables de « communications électroniques » !
L’ordonnance impose aux « fournisseurs de services » d’avertir à la fois la CNIL et les utilisateurs finaux lorsque des données ont été dérobées suite à une attaque informatique. Une divulgation publique qui va à l’encontre des habitudes des entreprises françaises, adeptes depuis toujours d’une discrétion certaine. La plupart des directions informatiques avec lesquelles  j’ai abordé le sujet l’ont soigneusement évité, estimant – à tort – ne pas être concernées, puisque leur entreprise n’entrait pas dans la catégorie des « opérateurs ».
Pourtant, le sujet devrait être aujourd’hui au cœur des priorités des RSSI. Non pas parce qu’une ordonnance le leur impose dans un flou juridique. Mais parce que depuis des mois, toutes les entreprises, à l’échelon mondial, constatent une recrudescence des attaques sur leur système d’information ! Dans son rapport annuel sur le panorama des menaces, Trend Micro estime même que 2011 a été l’année de tous les dangers pour les données: des entreprises de premier rang ont été victimes de piratages de données ciblés, qui ont terni leur réputation et entraîné de multiples dommages collatéraux. 
Et l’on parle bien ici d’attaques sur les systèmes d’information, et non uniquement sur les systèmes informatiques. Car ces attaques ne visent pas à détruire ou à immobiliser les matériels ou services, mais bien à dérober de l’information, toutes sortes d’informations.
Après tout, et de tout temps, l’information a toujours été le nerf de la guerre, de toutes les guerres…
Alors certes, on peut concevoir que les directions informatiques aient d’autres priorités en matière de sécurité que l’ordonnance d’août dernier. Mais elles commettent l’erreur de séparer cette problématique du reste des processus de sécurisation de leur SI. Or, les solutions à mettre en œuvre sont communes. Elles sont même, sur le papier, plutôt simples : il suffit de tout chiffrer ! Selon l’ordonnance publiée, le simple fait de mettre en place un chiffrement des données sensibles, s’il n’exempte pas l’entreprise d’avertir la CNIL en cas de fuites, la dédouane de toute communication publique.
À l’heure où le Cloud infiltre chaque jour un peu plus nos habitudes professionnelles et personnelles, transformant de facto toutes les entreprises en « fournisseurs de services », ce manque  d’intérêt général pour l’ordonnance d’août 2011 dénote au mieux un certain état d’esprit (il est dans nos habitudes d’attendre que le mal arrive pour s’en occuper), au pire un inadmissible manque de respect pour ce que nous, les utilisateurs, confions à leurs services !
Pourtant, Internet devrait tous nous rendre plus responsables. Comment peut-on retarder davantage la mise en place de mesures à même de renforcer la sécurité des informations stockées dans les systèmes d’information et limiter les vols de données ? 
À mes yeux, cette mise en œuvre est un acte de citoyenneté. Ne doutons pas qu’à terme, nos utilisateurs, nos clients, sauront reconnaître les entreprises « Net-citoyennes » et ne manqueront pas de se détourner de celles qui ne le sont pas…